Page MenuHome GnuPG
Create Task
Maniphest T5580

gpg2 proves signature correct, even if empty file is removed
Closed, ResolvedPublic
Actions

Description

leder@home-ryzen:~$ touch test
leder@home-ryzen:~$ gpg2 --decrypt test.gpg 
gpg: Signatur vom Mo 30 Aug 2021 20:56:03 CEST
gpg:                mittels RSA-Schlüssel 7FA230EDA448DCF1A26B02729E4B8FB2811ADE38
gpg: Korrekte Signatur von "Gerrit Leder (tester) <gerrit.leder@gmail.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 7FA2 30ED A448 DCF1 A26B  0272 9E4B 8FB2 811A DE38
leder@home-ryzen:~$ gpg2 --verify test.gpg 
gpg: Signatur vom Mo 30 Aug 2021 20:56:03 CEST
gpg:                mittels RSA-Schlüssel 7FA230EDA448DCF1A26B02729E4B8FB2811ADE38
gpg: Korrekte Signatur von "Gerrit Leder (tester) <gerrit.leder@gmail.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 7FA2 30ED A448 DCF1 A26B  0272 9E4B 8FB2 811A DE38
leder@home-ryzen:~$ rm test
leder@home-ryzen:~$ gpg2 --verify test.gpg 
gpg: Signatur vom Mo 30 Aug 2021 20:56:03 CEST
gpg:                mittels RSA-Schlüssel 7FA230EDA448DCF1A26B02729E4B8FB2811ADE38
gpg: Korrekte Signatur von "Gerrit Leder (tester) <gerrit.leder@gmail.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 7FA2 30ED A448 DCF1 A26B  0272 9E4B 8FB2 811A DE38
leder@home-ryzen:~$ gpg2 --version
gpg (GnuPG) 2.2.20
libgcrypt 1.8.7
Copyright (C) 2020 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/leder/.gnupg
Unterstützte Verfahren:
Öff. Schlüssel: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Verschlü.: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
           CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Komprimierung: nicht komprimiert, ZIP, ZLIB, BZIP2

Details

Version
2.2.20

Event Timeline

leder created this task.Aug 30 2021, 9:06 PM
leder created this object in space S1 Public.
leder updated the task description. (Show Details)
leder added a comment.Aug 30 2021, 9:23 PM

I think this behaviour has something to do with "attached signature"?!

nitro added a subscriber: nitro.Aug 31 2021, 5:28 AM
werner closed this task as Resolved.Aug 31 2021, 7:53 AM
werner claimed this task.
werner edited projects, added FAQ, gnupg; removed gnupg (gpg22).
werner added a subscriber: werner.

gpg verifies the content of the file and not its meta data (file name). Thus an empty file is identical to a non-existing file. The OpenPGP protocol does not allow to distinguish between a detached signature and an embedded signature if you sign an empty file.